На съемном USB жестком диске Обнаружено: Net-Worm.Win32.Kido.ih
 

KIS2009 находит на съемном диске указанный вирус, пишет что будет удалено при перезагрузке. После перезагрузки все как было прежде. На локальных дисках этого вируса не находит ни КИС2009 ни AVZ ни KidoKiller. AVZ пишет, что скорее всего вирус, а "кидокиллером" не могу проверить съемный диск. Какой ключ писать не соображу. Укажите тему (если была такая) или алгоритм лечения.
С уважением, Александр.

uhuh, алгоритм прост и гласит Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

выполните все логи как указано в ссылке выше, это поможет вам вылечится, а нам помочь вам это сделать ...

uhuh, Здравствуйте. При проверке KidoKiller`ом рекомендуется отключать антивирус, иначе утилита может не найти активного червя, а т.к. антивирус не может удалить с флешки, то скорее всего у вас в системе червь активен.
В KidoKiller есть опция проверки съемных носителей.
См. Как бороться с сетевым червем Net-Worm.Win32.Kido
Предварительно, для предотвращения заражения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Дополнительно можете воспользоваться утилитой wwdc, описание здесь
Установите обновления
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
А лучше все, что предложит windowsupdate
Если проблема останется:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

вот логи AVZ и HijackThis
........
использование кидокиллера привело к удалению файла autorun.inf (по крайней мере его не видно нигде) но в f:\recycler\.... КИС2009 по прежнему находит вирус и предлагает перезагрузку для лечения.

uhuh, по логам AVZ и HijackThis не вижу ничего плохого. Остальных логво не вижу. C:\Program Files\Oleansoft\Hc\servemp.exe - сами ставили?
В каком файле находит? Логи делались с подключенной флешкой?

jre1.6.0_07 - Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Adobe Acrobat также обновите.

2 Pili:
скрытую камеру ставил сам - шефу хочется знать, что делают сотрудники в рабочее время...

для ясности где находит вирус: 2,5'' жесткий диск через USB подключен. (корзина для этого диска установлена размером 0 байт)

раньше был в корне файл autorun.inf - кидокиллер его убрал. Осталась папка recycler, вот в ней и вирус. для наглядности - скриншоты.

обновления установлены (после обнаружения вируса)

автозапуск отключен (после обнаружения вируса)

а какие еще логи?

обновление java в процессе

PS не могу скачать http://www.techsupportforum.com/sect...isinfector.exe - пишет page not found. уесть у кого рабочая ссылка?

В каком файле? Полный путь дайте, можно будет удалить скриптом.см. пост 3 Ссылка на Flash_Disinfector.exe действующая, только что проверил, работает.

вот что пишет КИС2009:
12.03.2009 9:32:34 Обнаружено: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx/PE_Patch.UPX/UPX
12.03.2009 9:32:34 Будет удалено при перезагрузке: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

uhuh, Выполните в AVZ скрипт
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Что из этого не требуется?

ни чего не нужно.

выполнил - полечилось.

после ComboFixа пришлось восстановление системы делать.

сделаю

Благодарю.

Для отключения можете выполнить скрипт в AVZ
По какой причине? При запуске combofix создает контрольную точку восстановления, а то, что удаляет, складывает в C:\Qoobox\Quarantine, логи combofix вы не выкладывали.

программа изменила параметры работы некоторых программ. и после перезагрузки "зависла" - ни каких действий. ждал долго.

это я видел и восстановил все обратно

логи не выложил - полечилось все, подумал "а зачем"

Этого за combofix не замечалось ни разу, бывает зависает при сканировании, если не отключать защитное ПО.
Ну как хотите, в логах других утилит могло что-нибудь ещё найтись, например вредоносная служба от kido (если раньше не удалилась kidokiller-ом)

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь и проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого вам интернета!

появился значек Internet Explorera на рабочем столе, все ссылки стали им же открываться (настроено было все на Opera), The Bat! потерял все настройки. дальше смотреть не стал - откатил до точки, созданной combofix.

диск то не мой - юрист (материалы дел на диске хранит) принес вирус откуда-то. вот КИС2009 вирус и нашел. А я и решил, что доступа к системе он (касперский) не дал. Хотя, если не мог удалить, значит что-то запустилось...
У нас в конторе на рабочих станциях стоит КИС2009 лицензионный и обновляется автоматически по 5 раз на дню. и поиск уязвимостей им делал. не все устранил правда.

может этого не достаточно. полагаться только на одну программу.

за ссылки благодарю, почитаю.плагин к опере или лисе?

после выполнения Flash_Disinfector.exe на флешке ничего не появилось и не изменилось
так и должно быть?

В опере есть кнопка, позволяющая сделать браузером по умолчанию. Из The Bat combofix может удалить только crack, был такой случай, подробнее можно сказать только после просмотра лога.
К firefox, ссылки на NoScript и AdBlock Plus откройте и посмотрите.
Показ скрытых файлов и папок включен? Утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector)

запускал при включенном касперском....

сделал по новой при выключенном касперском - все есть и папка и файл в папке

задумался: а как удалить результаты работы Flash_Disinfector?

Дайте себе права на папки autorun.inf и удалите эти папки.
По поводу Flash Drive Disinfector и прочих вопросов по защите
Если будут вопросы, связанны с вирусами, сделайте логи из поста 3 и напишите в ПМ.

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил

Благодарю за помощь.

кратенько - вернуть то, что отключил при лечении
 

http://www.forum.oszone.ru/thread-134392-2.html

выполнил

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Все хорошо, работает, а теперь потребовалось удаленное подключение к рабочему столу. А не могу вернуть. Я так понимаю нужно указать некое значение в SetServiceStart('TermService', 4); а какое не знаю. Подскажите.

uhuh, поставьте тип запуска служб RDSessMgr и TermService как здесь или выполните скрипт AVZ

не помогло...

при попытки запустить службу терминалов пишет - служба не может быть запущена так как отлючена или отключены устройства, зависящие от нее. вроде так

uhuh, скрипт возвращает стандартные типы запуска служб. После скрипта компьютер перезагружали?

сначала не додумался.
перезагрузив получил следующее "Интерактивный вход в систему запрещенлокальной политикой безопасности".

политику интерактивного входа в систему скриптом вообще не трогали, настраивайте групповую политику, в помощь не пускает на терминал

Проблема решена. Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил